XRTN, un ransomware que cifra los archivos y se distribuye a traves de un word

Seguro que a muchos no les suena para nada este ransomware. Sin embargo, si mencionamos a ValueCrypt es probable que resulte mucho más familiar. Los ciberdelincuentes han creado un nuevo virus informático que cifra los archivos de los usuarios y que lo han bautizado como XRTN, adquiriendo muchas de las características del segundo.

Hay que tener en cuenta que el segundo apareció por primera vez el pasado mes de marzo, asignándole una visibilidad muy diferente durante el transcurso de los meses. El primer aspecto que tienen en común es que utilizan el cifrado RSA-1024. También es muy similar el proceso de notificación al usuario de que existen ciertos archivos que han sido cifrado y que para recuperar su acceso debe abonar cierta cantidad de dinero.

Sin embargo, si hacemos mención al proceso de infección aquí es donde comienzan a diferenciarse. Esta nueva variante no llega de forma directa al equipo, sino que el usuario realiza la descarga de un documento Word que posee una macro. Teniendo en cuenta que estas se encuentran deshabilitadas, los ciberdelincuentes se las agencian para que los usuarios las activen y así ejecutar el código JavaScript. Este será el encargado de realizar la descarga del ejecutable que procederá a instalar XRTN.

Se trata de una técnica que se utiliza con algunas versiones de TeslaCrypt, con la única diferencia de que en vez de utilizar un documento de la suite de ofimática Microsoft Office se utiliza directamente otro malware al que se le atribuyen otras funciones, como por ejemplo, comprobar el nivel de seguridad del equipo.

XRTN no utiliza servidor de control

A diferencia de otros ransomware que almacenan de forma remota las claves de cifrado, en esta ocasión se produce el elmacenamiento de forma local en cada uno de los equipos infectados, utilizando el archivo XRTN.key para guardar la clave utilizada. Expertos en seguridad también han conseguido crear un listado con los archivos que son sensibles a verse afectados por este: .xls, .xlsx, .doc, .docx, .pdf, .rtf, .cdr, .psd, .dwg, .cd, .mdb, .1cd, .dbf, .sqlite, .jpg, y .zip. Sin embargo, que la clave de almacene en el equipo no sirve de nada, ya que se necesita la clave privada que se encuentra en propiedad de los ciberdelincuentes.

Por el momento no existe una herramienta que permita recuperar los archivos, por lo tanto, la única posibilidad que es más o menos fiable es recurrir a copias de seguridad, ya que el pago de la cantidad de dinero solicitada no es recomendable.

Ver informacion original al respecto en Fuente:
http://www.redeszone.net/2015/12/18/xrtn-un-ransomware-que-cifra-los-archivos-y-se-distribuye-a-traves-de-un-word/

Actualizacion de otra Fuente:

Aunque recomendamos mantener la siguiente informacion “en cuarentena”, se ha leido tambien al respecto del XRTN, que no sólo los documentos de Word pueden venir con esta desagradable “sorpresa” oculta, y que segun los análisis sobre este malware, además de los documentos Word hay otras extensiones muy comunes en las que puede venir oculto el ransomware. Pueden verse afectadas las hojas de cálculo de Excel, las presentaciones de PowerPoint, documentos de texto en formato PDF, imágenes almacenadas en JPG y carpetas comprimidas con la extensión ZIP, además de algunos otros tipos de ficheros. Como habréis visto, los archivos susceptibles de esconder este malware son algunos de los formatos que más utilizamos a diario en cualquier ordenador, e incluso en dispositivos móviles.

saludos

ms, 20-12-2015